[分享]另一个隐藏进程的东东,是一个DLL,没有代码

马大哈 · 发表于 2008-8-17 23:40:23

<div class="msgheader">QUOTE:</div><div class="msgborder">以下是引用syfy在2008-8-15 14:02:52的发言： 发现在"冰刃"的手上毫无作用(完全无法隐形),但在一般的进程查看工具上还是可以隐藏的(包括很多著名的杀毒软件) </div>
 
冰刃是驱动级高手的作品,而这个DLL只是改了一下进程链表.
 
要是这样简单做一下就可以过冰刃,别人别混了哈哈.

xbs2008 · 发表于 2008-9-20 17:34:10

XP SP2 全补丁没用。
 
 
我传一个利用驱动来隐藏的，望大哈研究一下，下办法把它搞成VB
 
 
PS。大哈你不认识我，我可认识你了。哈哈

Lj0PaMAh.rar (46.67 KB, 下载次数: 17974)

[此贴子已经被作者于2008-9-20 17:34:48编辑过]

everyone · 发表于 2008-11-7 01:28:53

在我的系统不行啊，win2003+sp1

马大哈 · 发表于 2008-11-15 15:37:36

<div class="msgheader">QUOTE:</div><div class="msgborder">以下是引用xbs2008在20/09/2008 17:34:10的发言： 
XP SP2 全补丁没用。
 
我传一个利用驱动来隐藏的，望大哈研究一下，下办法把它搞成VB
 
PS。大哈你不认识我，我可认识你了。哈哈
 
<table class="tableborder4" style="WIDTH: 550px" cellspacing="2" border="0">
<tbody>
<tr>
<td class="tablebody2" colspan="2" height="20"> 下载信息  [文件大小：<a target="_blank" name="UpFileSize">46.7 KB</a>  下载次数：<a target="_blank" name="LoadTime">0</a>]</td></tr>
<tr>
<td class="tablebody1" colspan="2" height="20"><img title="dvubb" alt="图片点击可在新窗口打开查看" src="http://www.m5home.com/bbs/skins/default/filetype/rar.gif" onload="imgresize(this);" border="0"/><a href="http://www.m5home.com/bbs/viewFile.asp?BoardID=10&ID=696" target="_blank">点击浏览该文件:进程隐藏.rar</a></td></tr></tbody></table>
<div align="right">[此贴子已经被作者于2008-9-20 17:34:48编辑过]</div></div>
这个驱动级的隐藏是很不错,它是做了SSDT HOOK,对包括NtOpenProcess在内的多个API在内核里进行了HOOK,再作处理,于是Ring3下的进程管理就拿它没办法了.
 
至于XPSP2不行,估计原因是直接在Ring3下改进程链表被禁止了,所以还是得像你这个程序一样进Ring0才行.
 
另外........从你的ID上我的确不是能想起很多有用的信息........请问是哪位?

koma · 发表于 2008-12-8 14:32:38

这个DLL怎么调用？
 
我在MFC DLG里这样调用，没察觉哪有错，可实现不了...
 
HMODULE h=LoadLibrary("prshook.dll");    if(!h)    {     MessageBox("Failed   loading   prshook.dll.");     return;    }    typedef   long   (*FUNC)(LPSTR str);       FUNC f=(FUNC)GetProcAddress(h,"Mapping");    if(!f)    {     MessageBox("Can't   find   proc   address.");     return;    }    if(f("hide.exe")==0)  {   MessageBox("调用失败");  }  FreeLibrary(h);

koma · 发表于 2008-12-8 14:33:51

我在MFC DLG里调用(参数为空)，没察觉哪有错，可实现不了...
 
HMODULE h=LoadLibrary("prshook.dll");    if(!h)    {     MessageBox("Failed   loading   prshook.dll.");     return;    }    typedef   long   (*FUNC)();       FUNC f = (FUNC)GetProcAddress(h,"Mapping");    if( !f )    {     MessageBox("Can't   find   proc   address.");     return;    }    if( f () == 0 )  {     MessageBox("调用失败");  }  FreeLibrary(h);

everyone · 发表于 2009-1-29 13:17:50

哎还是被360的“系统全面诊断”发现了。
[em54]

everyone · 发表于 2009-3-31 07:42:04

楼主辛苦了

loverosebay · 发表于 2009-7-6 11:45:20

win2003+sp2 失败了.. 
第一次成功,退出再打开,再隐藏就不行了..
不知道是什么问题,进程是隐藏了..
可是任务管理器中,应该程序还在..

马大哈 · 发表于 2009-7-6 15:41:07

看来并不稳定.

心飞 · 发表于 2009-7-29 16:24:54

这个线程隐藏能用在SP3吗？

马大哈 · 发表于 2009-7-31 00:02:11

不可以
 
SP3的一些东西不同了,听说好象貌似有可能会蓝呀................

everyone · 发表于 2009-8-9 12:23:21

进程是隐藏了。。可是在“应该程序”那里还是显示的？？？？

everyone · 发表于 2009-10-27 06:12:18

不做坏事，只是用来对付坏人的

icecept · 发表于 2009-11-28 02:41:28

真的可以隐藏吗？会不会在杀毒软件的进程列表中现形呢？

马大哈 · 发表于 2009-12-8 23:21:11

应用程序那里是窗体标题,不需要操作链表就能隐藏的.

everyone · 发表于 2010-2-15 21:12:22

好像在win7 64bit下无效啊

winterballli · 发表于 2010-5-11 08:32:24

谢谢老马分享；
一,没有成功隐藏，点击隐藏后没反应；

二,测试环境：xp professional 2002版本，sp3
杀毒没有报；小红伞

winterballli · 发表于 2010-5-11 08:36:51

本帖最后由 winterballli 于 2010-5-11 08:44 编辑

测试后，需要重启机器才能删除dll

winterballli · 发表于 2010-5-11 08:54:09

又在xp+sp2的虚拟机里测了，正常；虚拟机没装杀毒，裸机

马大哈 · 发表于 2010-5-11 09:50:53

谢谢测试!

fengerpro · 发表于 2010-6-21 13:10:23

谢谢,DLL会不会被杀?

账号		自动登录	找回密码
密码			加入我们

[分享]另一个隐藏进程的东东,是一个DLL,没有代码

论坛牛人

贡献奖

关注奖

最佳版主

进步奖

人气王

疯狂作品奖

精英奖

赞助论坛勋章

乐于助人勋章